Il coronavirus sta catturando l'attenzione del mondo incutendo paura e incertezza nella vita delle persone e mettendo in discussione la realtà operativa delle aziende.

Mentre il mondo lotta per contenere il coronavirus le aziende devono prepararsi per il potenziale impatto sulla loro operatività.

Ingegneria Sociale

Gli eventi che scatenano disagio emotivo sono argomenti chiave per i cyber-criminali da utilizzare nella creazione di campagne di social engineering.
Una campagna di ingegneria sociale è un atto attraverso il quale - si tratti di e-mail, telefonate, messaggi di testo, ecc. - si manipola la vittima affinché compia un'azione, ad esempio cliccando su un link, aprendo un allegato o divulgando informazioni.
Affinché questi tipi di attacchi abbiano successo, si deve innescare una risposta emotiva nel bersaglio.
Il coronavirus è il meccanismo perfetto.

-Ricordate ai vostri dipendenti di stare attenti alle e-mail con link o allegati che fanno riferimento al coronavirus.

I seguenti scenari sono esempi di come il virus potrebbe essere sfruttato per manipolare i vostri dipendenti:

‼Un'e-mail da un'agenzia di stampa che sostiene che è stata trovata una cura. Viene allegato un link per accedere a un articolo su cui la vittima può cliccare per leggere i dettagli aggiuntivi. Anche se l'atto in sé può sembrare benevolo, è sufficiente affinché i cybercriminali infettino i vostri sistemi, rubino i dati o vi tengano in ostaggio con un ransomware.

‼ Un'e-mail che dichiara di provenire dalle Risorse Umane o dall'Amministrazione della vostra azienda con un aggiornamento urgente delle attività. Il promemoria è fornito in un allegato che deve essere aperto. L'atto di cliccare sull'allegato e di aprire il documento è sufficiente di per sé a compromettere il dispositivo.

‼ Un messaggio di un ente di beneficenza (falso) che sollecita donazioni per trovare una cura o aiutare le persone colpite. Come in ogni momento di crisi, i criminali cercheranno di creare schemi fraudolenti per rubare denaro.

-Ricordate ai vostri dipendenti che quando ricevono un messaggio che fa riferimento al virus, prima di agire, devono fermarsi, leggere attentamente il testo (spesso contiene errori, verificare il mittente ed in caso di dubbi contattare telefonicamente l'azienda.
Incoraggiate i dipendenti a controllare le loro emozioni e a non lasciare che la loro paura o curiosità guidi la loro risposta.

-E' fondamentale che abbiate anche qualcuno a cui i dipendenti possano rivolgersi se hanno domande sulla comunicazione e vogliono confermarne la legittimità.

Se disponete di metodi standard per comunicare questioni importanti, ricordate ai dipendenti questi metodi.

Lavoro a distanza

Nell'ultima settimana, molte aziende stanno riducendo al minimo il personale d'ufficio e richiedendo ai dipendenti di lavorare da casa. Le conferenze vengono annullate e le riunioni si spostano nello spettro virtuale.
Molte aziende hanno un piano di continuità aziendale, che permette loro di operare da remoto, molte altre sfortunatamente, no.
Per quelle che hanno un piano, i sistemi di accesso remoto saranno messi alla prova.
Per quelle che non ce l'hanno, è imperativo crearne uno.

In ogni caso si dovrà in primis tenere conto della sicurezza.

Anche se è certamente necessario operare, non si vuole esporre l'azienda a compromessi o innescare una violazione involontaria dei dati aziendali.

Ad esempio, consentire ai dipendenti di prendere copie di dati su unità rimovibili dalla sede dell'ufficio per lavorare da casa può comportare una grave violazione della sicurezza aziendale.

Quanto segue deve essere considerato come parte della vostra strategia:

-Se i vostri dipendenti accedono ai dati sensibili, dovrebbero essere dotati di un computer portatile controllato dall'azienda e protetto, inclusi gli hard disk criptati. Se dovete stabilire delle priorità, concentratevi sui dipendenti ad alto rischio in base alla sensibilità dei dati a cui devono accedere.

-Qualsiasi accesso remoto o applicazione basata su cloud dovrebbe sfruttare l'autenticazione a più fattori.

-Se si dispone delle risorse, offrire di far eseguire al proprio reparto IT un controllo di sicurezza sui dispositivi domestici dei dipendenti se la decisione finale è che devono lavorare da casa utilizzando le proprie apparecchiature.

-Cercate di limitare le possibilità per i dipendenti di salvare sui propri dispositivi.

-Assicuratevi di stabilire e comunicare chiare aspettative sulla strategia del lavoro da casa. Mentre potreste non essere in grado di implementare il set ideale di controlli tecnici per gestire il rischio, potete assicurarvi che i vostri dipendenti svolgano il loro ruolo e sappiano come lavorare in modo efficiente e sicuro quando non sono in ufficio.
Fate in modo che i dipendenti comprendano il rischio e lo sappiano gestire.

-Una volta passata la crisi, comunicate ai dipendenti che tutti i dati salvati su dispositivi personali durante il telelavoro andranno cancellati e distrutti.

Andare avanti.

Questo è senza dubbio un periodo spaventoso con conseguenze potenzialmente devastanti per la vita umana e la stabilità operativa delle imprese. Ma se sfrutterete questo momento per implementare nuove procedure operative basate sul digitale non solo manterrete la vostra operatività, le vostra azienda ne uscirà più forte e competitiva di prima.